Вопрос VMP DLL, узнать тру OEP

thismyname · 22 Авг 2021

Привет, мне надо восстановить IAT и сдампить дллку, но Сцилла выдает неправильный OEP из-за VMP, подскажите скрипт или что-то вроде. Мне надо будет отдельно от процесса игры отлаживать DLL или саму игру?

Zaria · 22 Авг 2021

thismyname написал(а):
Привет, мне надо восстановить IAT и сдампить дллку, но Сцилла выдает неправильный OEP из-за VMP, подскажите скрипт или что-то вроде. Мне надо будет отдельно от процесса игры отлаживать DLL или саму игру?

Фиксить вмп гиблое дело, тем более длл. Поэтому не вижу смысла этого делать.

Kiyoshi00 · 22 Авг 2021

согласен с комментарием выше

thismyname · 22 Авг 2021

amjesty написал(а):
Фиксить вмп гиблое дело, тем более длл. Поэтому не вижу смысла этого делать.

Ну мне хукнуть надо, аргументы для прототипа функции надо как то узнать)

Marginalized · 22 Авг 2021

Все зависит от версии вмп (2.4-2.8 девиртятся тулзами). Так такого OEP там нету, ибо эт виртуалка. Также многое зависит от того как именно виртился код, если полностью - то девиртить придется, если кусочно - то можно часть логики восстановить. Крч, эт дело нудное.

thismyname · 22 Авг 2021

0x3730 написал(а):
Все зависит от версии вмп (2.4-2.8 девиртятся тулзами). Так такого OEP там нету, ибо эт виртуалка. Также многое зависит от того как именно виртился код, если полностью - то девиртить придется, если кусочно - то можно часть логики восстановить. Крч, эт дело нудное.

2.X если верить die

colby57 · 22 Авг 2021

Найди самую первую функцию, которая вызывается после ЕР, таковой является __security_init_cookie , если он не виртуализирован, то можешь составить паттерн в чистой программе и потом использовать в накрытой. Это как один из вариантов

Debounce · 27 Авг 2021

thismyname написал(а):
неправильный OEP из-за VMP

Вмп вместо точки входа вставляет свой код, который виртуализирован, и затем вызвает OEP.
Но если OEP при этом тоже виртуализирована, то все вместе выполнится на одной и той же вм, прямо без выхода из нее.
Т.е. в таком случае найти ее будет невозможно без девиртуализации, потому что она будет адресом примитива с указателем ленты пикода в определенном месте.
Самый простой вариант потрассировать и посмотреть самый первый код который без защиты (например точка входа вызывает другие функции, которые кодер мог забыть защитить), это будет не совсем OEP, но чтобы закинуть в иду хватит.